"هغه سړی چې زموږ ویب پاڼه یې جوړه کړې لا دمخه د DDoS محافظت ترتیب کړی."
"موږ د DDoS محافظت لرو، ولې سایټ ښکته شو؟"
"قراطیر څو زره غواړي؟"
د دې لپاره چې د پیرودونکي / مالک څخه دا ډول پوښتنو ته په سمه توګه ځواب ووایی، دا به ښه وي چې پوه شئ چې د "DDoS محافظت" نوم تر شا څه پټ دی. د امنیتي خدماتو غوره کول په IKEA کې د میز غوره کولو په پرتله د ډاکټر څخه د درملو غوره کولو په څیر دي.
زه د 11 کلونو لپاره د ویب پاڼو مالتړ کوم، د هغو خدماتو په اړه چې زه یې ملاتړ کوم په سلګونو بریدونو ژوندي پاتې شوی یم، او اوس به تاسو ته د محافظت داخلي کارونو په اړه لږ څه ووایم.
منظم بریدونه. ټولټال 350k غوښتنې، 52k غوښتنې قانوني
لومړی بریدونه تقریبا د انټرنیټ سره یوځای ښکاره شول. DDoS د یوې پدیدې په توګه د 2000 لسیزې له وروستیو راهیسې پراخه شوې ده (وګورئ ).
د 2015-2016 راهیسې، نږدې ټول کوربه چمتو کونکي د DDoS بریدونو څخه خوندي شوي، لکه څنګه چې په سیالیو کې خورا مهم سایټونه لري (do whois د IP لخوا د سایټونو eldorado.ru, leroymerlin.ru, tilda.ws، تاسو به شبکې وګورئ د محافظت کارانو)
که 10-20 کاله دمخه ډیری بریدونه پخپله سرور کې له مینځه وړل کیدی شي (د 90s څخه د Lenta.ru سیسټم مدیر میکسم موشکوف وړاندیزونه ارزونه وکړئ: )، مګر اوس د ساتنې کارونه ډیر ستونزمن شوي دي.
د DDoS بریدونو ډولونه د محافظت آپریټر غوره کولو له نظره
په L3/L4 کچه بریدونه (د OSI ماډل سره سم)
- د بوټنیټ څخه د UDP سیلاب (ډیری غوښتنې په مستقیم ډول د اخته شوي وسیلو څخه برید شوي خدمت ته لیږل کیږي ، سرورونه د چینل سره بلاک شوي)؛
- د DNS/NTP/etc امپلیفیکیشن (ډیری غوښتنې د اخته شوي وسیلو څخه زیانمنونکي DNS/NTP/etc ته لیږل کیږي، د لیږونکي پته جعلي ده، د پیکټونو یو بادل چې غوښتنو ته ځواب ورکوي د برید شوي کس چینل سیلاب کوي؛ دا څنګه تر ټولو ډیر دی لوی بریدونه په عصري انټرنیټ ترسره کیږي)؛
- SYN / ACK سیلاب (د پیوستون رامینځته کولو لپاره ډیری غوښتنې برید شوي سرورونو ته لیږل کیږي ، د پیوستون قطار ډیریږي)؛
- د بسته بندۍ سره بریدونه، د مړینې پینګ، د پنګ سیلاب (د ګوګل دا مهرباني وکړئ)؛
- او همداسی پسی.
د دې بریدونو هدف د سرور چینل "بندول" یا د نوي ترافیک منلو وړتیا "وژنه" کول دي.
که څه هم د SYN/ACK سیلابونه او پراخوالی ډیر توپیر لري، ډیری شرکتونه د دوی سره په مساوي توګه مبارزه کوي. د بلې ډلې د بریدونو سره ستونزې رامنځته کیږي.
په L7 بریدونه (د غوښتنلیک پرت)
- http سیلاب (که یوه ویب پاڼه یا ځینې http api برید شوی وي)؛
- د سایټ په زیان منونکو سیمو باندې برید (هغه څوک چې زیرمه نلري، دا سایټ خورا ډیر باروي، او داسې نور).
موخه دا ده چې سرور "سخت کار وکړي"، ډیری "په ښکاره ډول ریښتینې غوښتنې" پروسس کړي او د حقیقي غوښتنو لپاره سرچینې پرته پریښودل شي.
که څه هم نور بریدونه شتون لري، دا خورا عام دي.
د L7 په کچه جدي بریدونه د هرې پروژې برید لپاره په ځانګړي ډول رامینځته شوي.
ولې دوه ډلې؟
ځکه چې ډیری شتون لري چې پوهیږي چې څنګه د L3 / L4 په کچه بریدونه په ښه توګه له مینځه ویسي، مګر یا د غوښتنلیک په کچه (L7) کې هیڅ ډول محافظت نه کوي، یا لاهم د دوی سره معامله کولو کې د بدیلونو څخه کمزوري دي.
د DDoS محافظت بازار کې څوک څوک دي
(زما شخصي نظر)
په L3/L4 کچه محافظت
د امپلیفیکیشن (د سرور چینل "بلاکیج") سره د بریدونو د مخنیوي لپاره ، په کافي اندازه پراخه چینلونه شتون لري (ډیری محافظت خدمات په روسیه کې د ډیری لوی بیکون چمتو کونکو سره وصل دي او چینلونه لري چې له 1 Tbit څخه ډیر نظریاتي ظرفیت لري). مه هېروئ چې خورا نادر امپریفیکیشن بریدونه له یو ساعت څخه ډیر دوام کوي. که تاسو سپاماس یاست او هرڅوک تاسو نه خوښوي، هو، دوی ممکن هڅه وکړي چې ستاسو چینلونه د څو ورځو لپاره بند کړي، حتی د نړیوال بوټینټ د کارولو نور ژوندي پاتې کیدو په خطر کې. که تاسو یوازې آنلاین پلورنځی لرئ ، حتی که دا mvideo.ru وي ، تاسو به په څو ورځو کې ډیر ژر 1 Tbit ونه ګورئ (زه امید لرم).
د SYN/ACK سیلابونو، د کڅوړو ټوټې کولو، او داسې نورو سره د بریدونو د مخنیوي لپاره، تاسو تجهیزاتو یا سافټویر سیسټمونو ته اړتیا لرئ ترڅو دا ډول بریدونه کشف او ودروي.
ډیری خلک دا ډول تجهیزات تولیدوي (آربر، د سیسکو، هووای څخه حلونه شتون لري، د وانګارډ څخه سافټویر پلي کول، او نور)، ډیری بیکبون آپریټرانو لا دمخه دا نصب کړی او د DDoS محافظت خدمتونه پلوري (زه د Rostelecom، Megafon، TTK، MTS څخه د تاسیساتو په اړه پوهیږم. , په حقیقت کې، ټول لوی چمتو کونکي د کوربه سره ورته کار کوي د خپل محافظت سره a-la OVH.com، Hetzner.de، زه پخپله په ihor.ru کې د خوندیتوب سره مخ شوی یم). ځینې شرکتونه خپل سافټویر حلونه رامینځته کوي (د DPDK په څیر ټیکنالوژي تاسو ته اجازه درکوي په یو فزیکي x86 ماشین کې لسګونه ګیګابایټ ترافیک پروسس کړئ).
د پیژندل شویو لوبغاړو څخه، هرڅوک کولی شي د L3/L4 DDoS سره ډیر یا لږ اغیزمن مبارزه وکړي. اوس زه به ونه وایم چې څوک د چینل اعظمي اعظمي ظرفیت لري (دا داخلي معلومات دي) ، مګر معمولا دا دومره مهم ندي ، او یوازینی توپیر دا دی چې محافظت څومره ژر پیل کیږي (په سمدستي یا د پروژې د ځنډیدو څو دقیقو وروسته ، لکه څنګه چې په هټزنر کې).
پوښتنه دا ده چې دا څومره ښه ترسره کیږي: د پراخوالي برید د هغو هیوادونو څخه د ټرافیک په بندولو سره مخنیوی کیدی شي چې ترټولو لوی زیان لرونکي ترافیک لري ، یا یوازې واقعیا غیر ضروري ترافیک له مینځه وړل کیدی شي.
مګر په ورته وخت کې ، زما د تجربې پراساس ، د بازار ټول جدي لوبغاړي پرته له کومې ستونزې سره مقابله کوي: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (پخوانی SkyParkCDN) ، ServicePipe ، Stormwall ، Voxility ، او داسې نور.
زه د آپریټرانو لکه Rostelecom، Megafon، TTK، Beeline څخه د خوندیتوب سره مخ شوی نه یم؛ د همکارانو بیاکتنې سره سم، دوی دا خدمتونه په ښه توګه وړاندې کوي، مګر تر دې دمه د تجربې نشتوالی په وخت سره اغیزه کوي: ځینې وختونه تاسو اړتیا لرئ د ملاتړ له لارې یو څه ټیک کړئ. د محافظت چلونکي.
ځینې چلونکي یو جلا خدمت لري "د L3/L4 په کچه د بریدونو پروړاندې محافظت" ، یا "د چینل محافظت"؛ دا په ټولو کچو کې د محافظت څخه خورا لږ لګښت لري.
ولې د شاته هډوکي چمتو کونکی د سلګونو Gbits بریدونو مخه نه نیسي ، ځکه چې دا خپل چینلونه نلري؟د محافظت آپریټر کولی شي له هر لوی چمتو کونکي سره وصل شي او "په خپل لګښت" بریدونه ودروي. تاسو باید د چینل لپاره تادیه وکړئ، مګر دا ټول سلګونه Gbits به تل نه کارول کیږي؛ پدې حالت کې د چینلونو لګښت د پام وړ کمولو لپاره اختیارونه شتون لري، نو دا سکیم د کار وړ پاتې دی.
دا هغه راپورونه دي چې ما په منظم ډول د لوړې کچې L3 / L4 محافظت څخه ترلاسه کړي پداسې حال کې چې د کوربه چمتو کونکي سیسټمونو ملاتړ کوي.
په L7 کچه محافظت (د غوښتنلیک کچه)
د L7 په کچه بریدونه (د غوښتنلیک کچه) د دې توان لري چې واحدونه په دوامداره او مؤثره توګه له مینځه یوسي.
زه د دې سره خورا ریښتینې تجربه لرم
- Qrator.net؛
- DDoS-ګارډ؛
- د جی کور لابراتوارونه؛
– کاسپرسکي
دوی د هر میګابایټ خالص ترافیک لپاره چارج کوي ، یو میګابایټ شاوخوا څو زره روبله لګښت لري. که تاسو لږترلږه 100 Mbps خالص ټرافيک لرئ - اوه. ساتنه به ډیره ګرانه وي. زه کولی شم تاسو ته په لاندې مقالو کې ووایم چې څنګه غوښتنلیکونه ډیزاین کړئ ترڅو د امنیت چینلونو ظرفیت کې ډیر څه خوندي کړئ.
اصلي "د غونډۍ پاچا" Qrator.net دی، پاتې نور یې وروسته پاتې دي. Qrator تر دې دمه زما په تجربه کې یوازینی خلک دي چې صفر ته نږدې د غلط مثبت سلنه ورکوي ، مګر په ورته وخت کې دوی د بازار نورو لوبغاړو په پرتله څو چنده ګران دي.
نور چلونکي هم د لوړ کیفیت او باثباته محافظت چمتو کوي. زموږ لخوا ملاتړ شوي ډیری خدمتونه (پشمول په هیواد کې خورا پیژندل شوي!) د DDoS-Guard، G-Core لابراتوارونو څخه خوندي دي، او د ترلاسه شویو پایلو څخه ډیر خوښ دي.
د قراتر لخوا بریدونه شنډ شول
زه د کوچني امنیت آپریټرانو لکه cloud-shield.ru، ddosa.net، په زرګونو سره تجربه هم لرم. زه حتما دا وړاندیز نه کوم ، ځکه چې ... زه ډیره تجربه نلرم، مګر زه به تاسو ته د دوی د کار اصولو په اړه ووایم. د دوی د محافظت لګښت اکثرا د لوی لوبغاړو په پرتله د 1-2 امرونو شدت کم دی. د یوې قاعدې په توګه، دوی د یو لوی لوبغاړو څخه د جزوي محافظت خدمت (L3/L4) اخلي + په لوړه کچه د بریدونو پروړاندې خپل محافظت ترسره کوي. دا خورا اغیزمن کیدی شي + تاسو کولی شئ د لږو پیسو لپاره ښه خدمت ترلاسه کړئ، مګر دا لاهم کوچني شرکتونه دي چې لږ کارمندان لري، مهرباني وکړئ دا په ذهن کې وساتئ.
د L7 په کچه د بریدونو د مخنیوي ستونزه څه ده؟
ټول غوښتنلیکونه ځانګړي دي، او تاسو اړتیا لرئ ټرافیک ته اجازه ورکړئ چې د دوی لپاره ګټور وي او زیانمنونکي بند کړئ. دا تل امکان نلري چې په غیر مساوي ډول د بوټو زیان رسوي ، نو تاسو باید د ترافیک پاکولو ډیری ، واقعیا ډیری درجې وکاروئ.
په یو وخت کې، د nginx-testcookie ماډل کافی و ()، او دا لاهم د لوی شمیر بریدونو د مخنیوي لپاره کافي دي. کله چې ما د کوربه کولو صنعت کې کار کاوه، د L7 محافظت د nginx-testcookie پر بنسټ و.
له بده مرغه، بریدونه ډیر ستونزمن شوي دي. ټیسټ کوکي د JS پراساس بوټ چیکونه کاروي ، او ډیری عصري بوټونه کولی شي په بریالیتوب سره تیر کړي.
د برید بوټینیټ هم ځانګړي دي ، او د هر لوی بوټینیټ ځانګړتیاوې باید په پام کې ونیول شي.
پراخول، د بوټینیټ څخه مستقیم سیلاب، د مختلفو هیوادونو څخه د ټرافيکو فلټر کول (د بیلابیلو هیوادونو لپاره مختلف فلټر کول)، SYN/ACK سیلاب، د کڅوړې ټوټې کول، ICMP، http سیلاب، پداسې حال کې چې د غوښتنلیک/http په کچه تاسو کولی شئ د لامحدود شمیر سره راشي. مختلف بریدونه.
په مجموع کې ، د چینل محافظت په کچه ، د ترافیک پاکولو لپاره ځانګړي تجهیزات ، ځانګړي سافټویر ، د هر پیرودونکي لپاره اضافي فلټرینګ تنظیمات کیدی شي لسګونه او سلګونه د فلټر کولو کچه وي.
د دې په سمه توګه اداره کولو لپاره او د مختلف کاروونکو لپاره د فلټر کولو ترتیبات په سمه توګه تنظیم کړئ، تاسو ډیری تجربې او وړ پرسونل ته اړتیا لرئ. حتی یو لوی آپریټر چې د محافظت خدماتو چمتو کولو پریکړه یې کړې نشي کولی "په احمقانه ډول ستونزې ته پیسې وغورځوي": تجربه باید د دروغو سایټونو او په مشروع ترافیک کې غلط مثبتو څخه ترلاسه شي.
د امنیت آپریټر لپاره هیڅ "د تکرار DDoS" تڼۍ شتون نلري؛ دلته ډیری وسیلې شتون لري، او تاسو اړتیا لرئ پوه شئ چې څنګه یې وکاروئ.
او یو بل بونس مثال.
یو غیر خوندي سرور د 600 Mbit ظرفیت سره د برید پرمهال د کوربه لخوا بند شوی و
(د ټرافیک "زیان" د پام وړ ندی، ځکه چې یوازې 1 سایټ برید شوی و، دا په لنډمهاله توګه له سرور څخه لیرې شوی او بلاک کول په یو ساعت کې لیرې شوي).
ورته سرور خوندي دی. برید کوونکو د یوې ورځې په شا تمبول شوي بریدونو وروسته "مصرف کړل". برید پخپله خورا پیاوړی نه و.
د L3/L4 برید او دفاع خورا کوچني دي؛ دوی په عمده ډول د چینلونو ضخامت پورې اړه لري ، د بریدونو لپاره کشف او فلټر کولو الګوریتمونه.
د L7 بریدونه خورا پیچلي او اصلي دي؛ دوی د برید کونکي غوښتنلیک ، وړتیاو او د برید کونکو تصور پورې اړه لري. د دوی په وړاندې ساتنه خورا پوهه او تجربې ته اړتیا لري، او پایله یې ممکن سمدستي او سل په سلو کې نه وي. تر هغه چې ګوګل د محافظت لپاره د بل عصبي شبکې سره راغلی.
سرچینه: www.habr.com